Módulo 2: Sistemas de archivos

DIGITAL WINDOWS FORENSICS

 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Índice

Módulo 2 - Introducción ......................................................................................... 3

Particionado ............................................................................................. 3
1.1 MBR ............................................................................................................... 4
1.2 GPT ............................................................................................................... 8

Sistemas de archivos en Windows ...................................................... 11

2.1 FAT .............................................................................................................. 11
2.2 NTFS............................................................................................................ 13
2.2.1 MTF................................................................................. 15
2.2.2 Atributos MFT .................................................................. 19
2.2.3 Fechas ............................................................................ 22
2.2.4 $LOGFILE / USNJOURNAL ............................................ 29
2.2.5 ADS (Alternante Data Stream) ........................................ 32
2.2.6 $INDEX Records ............................................................. 37
2.2.7 Shadow Copies ............................................................... 39
2.2.8 ¿Qué ocurre cuando se borra un fichero mediante el
sistema operativo? ....................................................................................... 42
2.2.9 Recuperación de datos mediante el propio sistema de
archivos 43

Recuperación de datos mediante carving ........................................... 43

3.1 Stream Carving vs File Carving................................................................. 46

Timeline .................................................................................................. 48

Metadatos de ficheros........................................................................... 50

2
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Módulo 2 - Introducción
El propósito de este curso es enseñar al alumno todos los procedimientos básicos que
existen hoy en día en cuando al Digital Forensics o Análisis Forense Digital.

Dentro del área de la Digital Forensics el curso se centra en profundidad en sistemas

operativos Windows, analizando todos los artefactos forenses que pueden ser útiles
para el día de mañana desarrollar una investigación de tal ámbito.

Este módulo 2 esta focalizado en mostrar dos de los principales sistemas de archivos
que se utilizan en sistemas Windows: NTFS y FAT. Dentro de NTFS veremos los
artefactos forenses que podremos identificar y analizar. También veremos las distintas
técnicas de recuperación, así como las herramientas necesarias para llevarlo a cabo.

Esperamos que este curso sea de su agrado y que apliquen con éxito a su carrera
profesional los conocimientos adquiridos.

Particionado
Los dispositivos de almacenamiento, ya sea un disco duro o un smartphone, su
almacenamiento se divide en particiones, dentro de las particiones en grupos de
sectores o cilindros físicamente contiguos.

Una de las particiones primarias puede ser designada como una partición extendida, la
cual puede subdividirse en particiones lógicas. Para un disco duro o disco ssd, la unidad
mínima de información serán los sectores.

¿Por qué particionar?

3
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Separación: es deseable aislar los datos de las aplicaciones de los archivos del
sistema operativo.
• Compartición: puede que múltiples sistemas operativos utilicen los mismos
sistemas de ficheros.
• Seguridad: se desean imponer cuotas o permisos distintos en cada partición.
• Tamaño: Alguna información se mantiene constante y otras veces puede ser
variable o volátil. Si una partición se llena no afectará a las demás.
Hoy en día todos los dispositivos donde se encuentre un sistema de archivos necesitan
un particionamiento para saber los limites del mismo. Los particionados mas extendidos
son el MBR (Master Boot Record) y el GPT (GUID Partition Table).

En la siguiente captura aparece el menú de Windows cuando insertamos un dispositivo

de almacenamiento sin particionado.

1.1 MBR

Máster Boot Record: alojado en el primer sector de un dispositivo y contiene tabla de

particiones.

• 1 sector 512 bytes.

• Un disco puede tener hasta cuatro particiones primarias.
• Tiene 64 bytes de longitud y se sitúa después de los 446 bytes del registro de
arranque, y un número mágico al final (0x55AA).
• Solo una partición se marca como activa.
• Cada entrada en la tabla de particiones ocupa 16 bytes y describe las cuatro
posibles particiones primarias.

4
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Si analizamos en detenimiento como está estructurado el MBR podemos identificar:

5
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Los primeros 446 bytes son el code área, dentro de estos 446, a partir del 440 hasta el
443 aparece un número de serie o Windows Disk Signature:

Esto lo podemos verificar con la herramienta Active Disk Editor, donde automáticamente
nos identifica que es cada posición dentro del disco.

Este Windows disk signature, es utilizado por el sistema operativo para diferenciar entre
dispositivos conectados a Windows.

6
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Puede haber una colisión de esta firma?

Sí. Como vemos en la imagen superior, esta situación se puede producir cuando se
clona de manera física un dispositivo que incluye el primer sector que aloja el MBR. No
se debe de confundir esta firma, con el número de serie físico del disco o dispositivo de
almacenamiento.

La tabla de particiones está contenida dentro del MBR y contiene registros de 16 bytes
cada uno.

En los registros se especifica de que tipo es la partición.

Tipos de particiones:

• 07: NTFS, EXFAT

• 0B/0C: FAT32
• 82: Linux Swap
• 83: Linux filesystem

7
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

La imagen anterior indica donde empieza la partición (sector), el tipo y el tamaño. El

sistema de partición MBR es utilizado por las viejas BIOS.

1.2 GPT

GPT viene a sustituir MBR para mantener las nuevas BIOS (UEFI). Al igual que en el
MBR empieza en el sector 0 del dispositivo para mantener compatibilidad con los
sistemas con BIOS.

• MBR = 32bit, GPT = 64bit.

• GPT has a backup Partition Table located at Last LBA n-1 and a backup GPT
Header located at Last LBA n.
• MBR has a maximum of 4 partitions.
• GPT has a maximum of 128 partitions.
• MBR Partition Table allows for up to 2.2 TB.
• GPT allows for up to 9.4 ZB.
• GPT allows for each partition to have a 36 character Unicode name.
• GUIDs are stored as 128-bit values, and are displayed as 32 hexadecimal digits.

Se mantiene el MBR en el sector 0

pero conteniendo una única partición
con identificador de partición OxEE.
Se le llama Protective MBR, con el
área de código a cero.

Dispone de dos sectores con

información:

• LBA 1: Primary GPT Header

• LBA-1: Secondary GPT
Header: copia con las particiones
incluidas

8
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

El protective MBR que aparece en el sector 0 esta formado de la siguiente manera:

La cabecera GPT se encuentra en el LBA 1

Siempre empieza con el Sting “EFI PART”: 45 46 49 20 50 41 52 54 -> Little endian

DISKGUID 16 Bytes : 5E 86 90 EF D0 30 03 46 99 3D 54 6E B0 E7 1B 0D

9
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Cómo esta distribuidas cada entrada de partición en GPT?

GUIDs tipos de partición:

¿Cómo podemos identificar el tipo de particionado sobre una Evidencia?

Ver Video: 001-Identificar Particionado

10
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Sistemas de archivos en Windows

En este módulo dos de los sistemas de archivos que se utilizan en Windows: NTFS y
FAT.

En la imagen inferior, podemos todos los sistemas de archivos que utiliza Windows a
día de hoy.

FAT12/16: MSDOS, WIN95/98/NT/200

FAT32:95/2000/XP/2003/VISTA/7/8/10

ExFAT:2008/2012/2016/VISTA/7/8/10

NTFS:XP/2003/2008/2012/VISTA/7/8/10

ReFS:2012/2016

2.1 FAT

El sistema de archivos FAT (File Allocation Table), es un sistema para almacenamiento

pequeño. La unidad mínima de este sistema de archivos es el clúster.

Como vemos en la imagen superior, el sistema de archivos está formado por:

• Sector de arranque con su firma 55AA, la localización vendrá indicada por el

comienzo de la partición, ya sea GPT o MBR.
• FAT1: tabla que contiene la relación clúster-siguiente clúster.
• FAT2: backup de la FAT1, para proteger el volumen.
• Directorio raíz.
• Espacio de datos.

11
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Bytes dedicados
Tipo Límite de Clúster
en la FAT
FAT 1.5 4087
12
Entre 4087 y 65526 clúster,
FAT 2
16 incluidos

Entre 65526 y 268,435,456

FAT 4 clúster, incluidos.
32

Las características de FAT son las siguientes:

• El tamaño de los bytes dedicados, marcara hasta cuantos clúster es capaz de

redireccionar.
• El tamaño máximo de un fichero es de 4 Gigabytes.
• El timestamp es local, es decir, lleva una zona horaria determinada.
• Tiene un tamaño máximo de volumen de 32GB para FAT32.

Según vemos en la imagen inferior la tabla FAT representa el estado del clúster y su
siguiente clúster, asociado al fichero.

En esta tabla hay valores especiales para marcar:

• Clústeres erróneos (0xFFF7).

• Ultimo clúster de un fichero (0xFFF8-0xFFFF).
• Clúster usado por un archivo.
• Sin usar (0x0000).

La imagen anterior muestra tres ficheros. El fichero [Link] es un fichero que ocupa
tres clúster. El fichero [Link], es un fichero fragmentado que ocupa tres clúster. El
fichero [Link] ocupa entero un solo clúster.

El directorio raíz, es un tipo especial de archivo que almacena las subcarpetas y archivos
que conforman el sistema de archivos. Al ser una tabla, dispone una de una entrada
para cada fichero o carpeta. La única diferencia entre este fichero y el resto es que este

12
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

directorio raíz está localizado en una posición específica para FAT16 y FAT12. En
FAT32 ocupa una posición como otro fichero normal. Cada entrada puede tener:

• Nombre del fichero o carpeta (máximo 8 caracteres).

• Atributos.
• Fecha de creación y hora de creación.
• Fecha de modificación y hora de modificación.
• Fecha de último acceso.
• Dirección de la tabla FAT donde empieza el primer clúster del fichero.
• Tamaño.

2.2 NTFS

El sistema de archivos NTFS fue introducido en 1993 con Windows NT 3.1 y en la

actualidad se encuentra puede encontrar en distintas versiones, siendo la última la
versión 5.1.

Características de NTFS:

• Journaling: guarda todos los cambios

o $Logfile: es un fichero circular que almacena todos los cambios en
cuanto a los metadatos del sistema de archivos para los ficheros. Es
decir, las operaciones que hace el sistema de archivos cuando se
produce una acción.
o $Extend\$UsnJrnl: fichero no circular que almacena todos los cambios
de ficheros y carpetas del volumen.
• Volume Shadow Copy: mantiene un histórico de los ficheros y directorios.
• Seguridad: cada fichero o directorio mantiene un descriptor de seguridad
mediante listas de control de acceso.
• EFS: Encrypting File System permite cifrar ficheros o directorios.
• Bitlocker: permite cifrar el volumen entero.
• Compresión.
• Alternate Data Stream: añaden información extra.
• Sparse Files.
Un clúster es la unidad mínima de NTFS y va en función del tamaño del volumen o
partición.

• Clúster 4KB (8 sectores físicos) para volúmenes de hasta 16 TB

• Clúster de 8KB para volúmenes de hasta 32 TB
• Permite hasta 16 Exabytes ([Link] Gb) por partición (2^32 bytes).
• Los clúster son pequeños (512 a 4 Kb) poca fragmentación interna.

13
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Todo es tratado como atributos (incluso los datos de un fichero, el contenido de

un directorio, etc.)
• Permite directamente nombres de fichero de hasta 255 caracteres.

El sistema de archivos NTFS está formado por:

• NTFS boot sector: este sector de arranque NTFS vendrá indicado por el
comienzo de la partición, ya sea GPT o MBR.
• Master File Table o $MFT: fichero que contiene todos los ficheros y carpetas
dados de alta en el sistema archivos
• Espacio clúster para almacenar archivos, este espacio puede estar usado o libre.
• Dirección de la MFT o $MFTMirror: contiene los primeros 4 registros de la $MFT.
En las imágenes siguientes, podemos ver como está organizado el NTFS boot sector,
hay que tener en cuenta que el desplazamiento viene dado en clúster respecto a la
partición por lo que para hacer un desplazamiento físico hay que sumar el sector actual
y convertirlo a sectores.

14
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Slack Space: aunque hablemos del slack space dentro de la sección de NTFS, este
término se puede aplicar como veremos más adelante, también para los registros MFT.

Como sabemos, NTFS tiene la unidad mínima de información que son los clústers. Si
un fichero no rellena todos los clústers que necesite para alojar su información, el
espacio que sobra se llama slack space.

NTFS tiene 3 campos para indicar el tamaño de cada fichero:

• Logical

• Initialized

• Physical

2.2.1 MTF
Dentro del sistema NTFS, es un fichero que contiene una tabla con todos los ficheros y
directorios, incluido él mismo. Los primeros 26 registros de la tabla $MFT son los
llamados metadatos y sirven para organizar el sistema de archivos.

15
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

La imagen anterior muestra como desde FTK Imager se pueden acceder a los ficheros
llamados metadatos que componen en el sistema de archivos.

Hay dos MFT, ambos indicados por el Boot NTFS sector:

• $MFT
• $MftMirror: al final de la partición sirve como backup, y contiene unicamente 4
los primeros registros del MFT.

MFT
Nombre Propósito
Record

El propio fichero MFT debe

aparecer en esta tabla, ya que
0 $MFT es un fichero más del sistema
de archivos.

$MFTMir Copia de los 4 primeros

1
ror Registros

Contiene lista de las

transacciones a nivel de
2 $Logfile metadatos, realizadas a
nivel del volumen NTFS
Contiene información de
3 $Volume volumen, etiqueta y
versión.
Tabla con los nombres de los
4 $AttrDef atributos, números y
descriptores

5 . El directorio raíz

16
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Indica el estado de los clúster

6 $Bitmap que están en uso.
7 $Boot El boot sector como tal

Clústers que el sistema de

archivos como erróneos y no
$BadClu
8 deben de usarse para alojar
s
ficheros

Contiene los descriptores de

seguridad para todos los
9 $Secure
ficheros del volumen

Convierte los
caracteres en
minúscula en
10 $Upcase caracteres en
mayúsculas de
Unicode coincidentes.
Directorio que contiene
11 $Extend cuotas, reparse point data,
usnjrnl

Registro 12 Reserva
Para Futuros Usos
a 23 do

Fichero dentro de $Extend

que contiene límites de cuota
24 $Quota
asignados a un usuario
25 $ObjID Contiene los IDS de los objetos
Contiene información acerca
de ficheros y carpetas que
$Repars
26 incluyen el reparse point
e
data.

Cada fichero anteriormente enumerado ocupa un registro en la tabla MFT. Normalmente

el tamaño del registro es de 1024 bytes e ira en función del tamaño del volumen.

¿Cómo son los registros MFT?

• Todos empiezan por el string “FILE”.

• Tienen una cabecera que indica información del fichero o carpeta y tiene un
tamaño de 42bytes.

17
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Cómo podemos identificar los primeros registros de tabla MFT que son los metadatos
del sistema de archivos NTFS?

Ver video: 002 – BootSector Metadatos

Siguiendo con la teoría hemos visto, que hay un campo dentro del registro MFT, que
son los FLAGS. Estos son los que nos van a indicar si el fichero o carpeta ha sido
borrada. Hay que tener en cuenta, que el sistema operativo, por el simple uso, puede
sobrescribir este registro MFT y ya no tendríamos acceso a esta información. Por eso
es muy importante que cuando se vaya realizar una investigación forense, donde se
sospeche que haya información borrada, el dispositivo objeto de la investigación, se
haya utilizado lo menos posible después de la declaración de incidente.

¿Cómo se puede identificar a bajo nivel si un fichero está borrado? Analizando los
registros MFT.

Ver video: 003 - Identificación de Registros MFT borrados con Active Disk

Ver video: 004 - Identificación de ficheros borrados con FTK

18
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Resumen de como está compuesto un sistema NTFS en un dispositivo:

2.2.2 Atributos MFT

En la imagen anterior, donde indentificabamos los flags de borrado en los registros MFT,
veíamos solamente la cabecera. En la imagen de a continuación podemos ver el registro
MFT completo.

Aparecen nuevos campos, los atributos:

• Cabecera del Atributo.

• Atributo en si.

19
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Los tipos de atributo son los siguientes:

De acuerdo con el fichero $AttriDef, los atributos pueden ser residentes (están dentro
del registro MFT) o no residentes. Por ejemplo, el atributo $Data podría ser residente,
esto quiere decir que el contenido del propio fichero estaría dentro del MFT.

20
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Los atributos existen para cada fichero y directorio. Los de varios tipos como vemos en
la imagen superior y pueden contener desde el nombre, el propietario y permisos del
fichero/carpeta, e incluso la información como tal.

• $Standar Information: contiene los timestamps que nosotros vemos en el

explorador de Windows.
o Fecha de Creación.
o Fecha de Modificación.
o Fecha de Acceso.
o Fecha de cuando se actualizado algún de las fechas del registro MFT.
o Flags.
o Identificador de Seguridad.

• $File Name: contiene:

o Nombre de archivo.
o Flags.
o Parent MFT Entry: el registro del MFT de la carpeta que contiene dicho
archivo o carpeta.
o Fecha de Creación.
o Fecha de Modificación.
o Fecha de Acceso.
o Fecha de cuando se ha actualizado al registro MFT en cuanto a fechas.

21
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• $Data: contiene la información del fichero. En la imagen de a continuación

podemos como funciona el atributo $DATA:

Un resumen mucho más detallado de los atributos en NTFS lo podemos ver en la

siguiente imagen:

Ver Video: 005-Identificación de Atributos a bajo nivel

2.2.3 Fechas
NTFS dispone de 8 timestamps los del $STANDAR_INFORMATION y los de
$FILE_NAME, nosotros solo vemos en Windows Explorer los del
$STANDAR_INFORMATION

22
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Modificado
• Accedido
• Cambiado (El $MFT ha sido cambiado)
• Creado (Birth o creación de ficheros)
Estos son atributos como los que hemos visto anteriormente.

La siguiente tabla muestra como las fechas de $STANDAR_INFORMATION y de

$FILE_NAME son actualizadas en función de la operación que se haga con el fichero
en Windows 10.

Las evidencias digitales se pueden presentar de manera física y lógica. La forma física
incluye la representación de datos dentro de un dispositivo tangible. La forma lógica de
una evidencia digital se refiere a la representación virtual de la información dentro de un
dispositivo tangible.

23
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Renombrar el fichero

Si renombramos el fichero “File_Rename.docx” a “File_Renamed.docx” y esto lo que

ocurre con los atributos: solo la fecha de cambio del registro del MFT
$STANDARD_INFO MFT se modifica.

• 25-03-2018 [Link]

Mover un fichero local dentro volumen:

Movemos el fichero “Local_Move.docx” en el mismo volumen. De nuevo solamente la

fecha de cambio del registro del MFT $STANDARD_INFO MFT se modifica.

• 25-03-2018 [Link]

24
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Movemos el fichero a otro Volumen NTFS

Movemos el fichero a otro volumen NTFS con el nombre “Volume_Move.docx” y esto es

lo que ocurre: cambian todos excepto:

• STANDAR_INFO Modificación

• STANDARD_INFO MFT

Copiado de Ficheros

• Copiamos en el mismo volumen y esto es lo que ocurre: cambian todos excepto:

STANDARD_INFO Modificación

• STANDARD_INFO MFT

25
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Acceso a los ficheros

No cambia ningún timestamp, en

sistemas Windows, viene por
defecto deshabilitado esta opción.

Modificación de fichero

Se modifica un fichero: solo

se mantienen la fecha de
creación en el
$STANDAR_INFO y
$FILE_NAME. El resto de
timestamps cambia.

26
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Creación de Fichero

Creamos un nuevo fichero con

el botón derecho del ratón:
Por su puesto todos los
timestamps se cambian.

Borrado del fichero

A nivel de timestamps no
cambian.

27
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Qué herramienta podemos utilizar para analizar el MFT?

MFT2CSV: [Link]

Permite analizar:

• Leer un disco o imagen en formato RAW con MBR y GPT.

• Leer una partición en formato RAW.
• Leer directamente el fichero $MFT (previa extracción de un post mortem).
• Leer directamente el fichero $MFT de un sistema Live.
• Leer $MFT de una shadow copy.
• MFT y sus atributos.
• ADS.
• Extraer Ficheros residentes en el MFT.
• Atributos $INDX.
• Timestamps de $STANDAR_INFORMATION y $FILE_NAME.
• Ficheros que se hayan borrado.

Ver Video: 006-Análisis de MFT

28
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

2.2.4 $LOGFILE / USNJOURNAL

El $Logfile contiene información usada por NTFS para recuperarse de manera rápida
para volver al estado anterior. Es decir que todas las transacciones que se realizan
sobre $LogFile. Tiene un tamaño máximo de 65536KB. Esta localizado en el registro
segundo del MFT.

¿Qué tipo de transacciones?

• Creación de Fichero.
• Borrado de Ficheros.
• Renombrar el fichero.
• Copia de Ficheros.

En la imagen superior podemos ver los siguientes campos:

• LSN: numero de transacción dentro del $Logfile.

• Operación tanto REDO como UNDO.
Como se puede observar se encarga de restablecer las operaciones que realiza a nivel
del sistema de archivos, es decir de todos los atributos NTFS que hemos visto
anteriormente, incluso las operaciones que hace sobre el $USNJRNL.

La herramienta que nos permite analizarlo se llama LogileFileParser:

[Link]

29
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Para hacerla funcionar, es necesario copiar el ZIP sobre una ruta más simple, y se le
debe proporcionar el CSV que ha sido generado anteriormente con el MFT2CSV.

Ver video: 007-Analisis de LogFile

El fichero $EXTEND\$USNJnrl\$J es un alternate data stream del fichero

$EXTEND\$USNJnrl Este artefacto contiene un registro con muchísimos cambios que
se producen en un volumen NTFS. Se interpreta mucho mejor que el $logfile.

¿Qué operaciones aparecen en este fichero?

• Ficheros añadidos.
• Ficheros borrados.
• Ficheros Modificados.

El fichero $J tiene una estructura como la que se ve en la siguiente imagen.

30
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Qué herramienta vamos a utilizar? UsnJrnl2Csv que se encuentra en la url:

[Link]

Ver video: 008-Anlisis de USNJOURNAL

El resultado de analizar el USNJOURNAL de la evidencia USB nos indica que el fichero

fue borrado en el momento marcado en rojo. Tener en cuenta que este borrado se
produjo desde el CMD y nunca paso por la papelera de reciclaje. Cuando pasa por la
papelera de reciclaje, no se borra el fichero, sino que cambia de carpeta. En el momento
del “vaciado” es cuando se borra.

¿Qué diferencias hay entre el $usnjournal y el $logfile? Por resumir, en el $logfile

encontramos las transacciones sobre los atributos del fichero que se han realizado.
Mientras que en el usnjournal podemos ver el resultado de dichas acciones.

31
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Una herramienta que analiza $USNJOURNAL y $LOGFile a la vez, es NTFS

LogTracker, también permite realizar carving en busca de registros borrados de
$USNJOURNAL

2.2.5 ADS (Alternante Data Stream)

Desde Windows 2000, el sistema de archivos NTFS permite el uso de metadatos
conocido como ALTERNATE DATA STREAMS (ADS), que le permiten almacenar datos
dentro de un propio fichero. No es detectable durante la navegación por el sistema de
archivos, o en cualquier lugar dentro de Windows

32
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Esta característica solo funciona con sistemas basados en NTFS, perdiendo esta
particularidad si se copia o mueve a otros formatos de ficheros.

En la imagen anterior vemos cómo podemos añadir un ADS al fichero [Link], el fichero
[Link], con el contenido “BBBBBBBBBBBBBBBBBBBBBBBBB”. Al navegar mediante
Windows Explorer y con el CMD de Windows, no podríamos detectarlo.

¿Por qué es útil? Todos los ficheros descargados de Internet, Navegadores y Powershell
incluidos le añaden un ADS al fichero descargado.

• WinXP: solo los ejecutables.

• Win7-Win10: cualquier fichero descargado le añade el ADS.
El ADS no es más que un fichero “oculto”, ¿Cómo podemos identificar cuales los
ficheros que tienen un ADS que indica que ha sido descargado de Internet?

33
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Un ADS que tiene el nombre de fichero [Link]

Dentro de este fichero podemos encontrar distintas Zonas de Internet que irán en
función de lo que se tenga configurado en Internet Explorer o Edge. Esta información se
encuentra en el registro de Windows

• Zone ID = 3 -> Internet

• Zone ID = 4 -> Unstrusted
• Zone ID = 2 -> Trusted
• Zone ID = 1 -> Intranet
• Zone ID = 0 -> Mycomputer
EL ADS lo sacábamos como un atributo más de los ficheros, por lo cual se encontraba
en el MFT. Con la herramienta MFT2CSV nos indicaba los ficheros que tiene un ADS
mediante el campo ”ADS”. Otra herramienta muy útil, es la herramienta
AlternateStreamView de Nirsoft.

Para hacerla funcionar, conectaremos nuestra evidencia con posibilidad de escritura

temporal, ya que otorgaremos permisos sobre ciertas carpetas para que puedan ser
analizadas en busca de ADS.

Ver Video: 009 - Análisis de ADS

34
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

En el video aparece la captura de la imagen anterior, del fichero

C:\users\ismis\Download\[Link] donde se puede apreciar incluso la URL
completa de donde se descargó, gracias a que lo hizo desde Chrome.

A continuación, una lista de los principales browsers o aplicaciones que descargan

ficheros de internet y que dejan este ADS:

Google Chrome:

• [ZoneTransfer]
• ZoneId=3
• ReferrerUrl
• HostUrl
Microsoft Edge:

• [ZoneTransfer]
• LastWriterPackageFamilyName=Microsoft.MicrosoftEdge_8wekyb3d8bbwe
• ZoneId=3
Firefox:

• [ZoneTransfer]
• ZoneId=3
Opera:

• [ZoneTransfer]
• ZoneId=3
• ReferrerUrl
• HostUrl
Tor Browser:

• [ZoneTransfer]
• ZoneId=3
• Tor está basado en Firefox
Vivaldi:

• [ZoneTransfer]
• ZoneId=3
• ReferrerUrl
• HostUrl
Microsoft Outlook 2016:

• [ZoneTransfer]

35
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• ZoneId=3
Mozilla Thunderbird too.

• [ZoneTransfer]
• ZoneId=3
Windows Mail:

• [ZoneTransfer]
• ZoneId=3
μTorrent

• ZoneId=3
• HostUrl=about:internet
BitTorrent

• [Link]:
• ZoneId=3
• HostUrl=about:internet
Telegram Desktop

• [ZoneTransfer]
• ZoneId=3
Skype:

• [ZoneTransfer]
• ZoneId=3

36
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

2.2.6 $INDEX Records

NTFS indexa la información de cada directorio en un B+ Tree:

FTK analiza el sistema de archivos y lo representa como un fichero más ($I30), según
vemos en la imagen superior.

Este atributo contiene información sobre los nombres de archivo y directorios que hay
almacenados y que hubo dentro de él. Este atributo es también conocido como $INDX
y contiene:

• $INDEX_ROOT = 0x90
• $INDEX_ALLOCATION = 0xA0
• $BITMAP = 0XB0
Cuando tus borras un fichero de un directorio, el atributo $I30 queda de manera de slack
space y se puede encontrar evidencias de que existió. Es decir, dentro del propio fichero
$I30 tenemos slack space.

37
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

En la captura se identifica el fichero [Link] como $I30 INDX Entry. Es decir, esta
entrada está dentro del $I30. ¿Qué herramienta podemos utilizar para analizar el fichero
$I30?

IndexCSV

Muy importante marcar la opción de Slack para que pueda obtener dentro del slack
space del fichero I30 los registros que hubo.

Ver video: 010 - Análisis de INDX

¿Qué podemos obtener una ves hayamos analizado el fichero $I30?

• Fecha de Creación del Fichero que hay en la carpeta.

• Fecha de modificación del fichero que hay en la carpeta.
• Fecha de acceso del fichero que hay en la carpeta.

38
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Fecha de cambio de registro MFT que hay en la carpeta.

• Tamaño físico, lógico.
• Registro MFT.

Nunca obtendremos la fecha del fichero borrado que hubo en la carpeta.

2.2.7 Shadow Copies

Las shadow copies también conocidas como el Servicio Volume Snapshot o Volume
Shadow Copy (VSS), es una tecnología que se incluyo en los sistemas operativos a
partir de Windows

Es un servicio de Backup automático y trasparente para el usuario que este utilizando

el sistema.

39
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Físicamente las shadows copies se encuentran en carpeta del raíz: System Volume
Information

En un equipo encendido o Live, es fácil acceder a dichas shadows copies:

¿cómo podríamos acceder a las shadows copies de una imagen forense?

Ver Video: 011-Analisis de Shadows

40
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Junto con Arsenal Image Mounter y la herramienta de Nirsoft ShadowCopy View

podríamos extraer los ficheros que hay en cada snapshot.

Para analizar las Shadows Copies de un Windows 10, hay que lanzarlo desde un
Windows 10. Así para todas las versiones de Windows.

¿De qué ficheros se realiza backup mediante las shadows copies?

Para ello habría que analizar el registro de Windows, en especial el fichero SYSTEM e
ir a la siguiente ruta:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Y a esta ruta:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore
Dentro de esta última clave de registro, podremos encontrar:

• FilesNotToBackup -> ficheros que no se deben copiar

• KeysNotToRestore -> claves de registro de Windows que no se deben de copiar.

41
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

2.2.8 ¿Qué ocurre cuando se borra un fichero mediante el sistema

operativo?
Cuando vacía la papelera en un Sistema Windows, se borra presionando la tecla
“SHIFT” o se borra desde el CMD, es cuando de verdad se produce un borrado el
fichero. A continuación identificamos todo el proceso a nivel forense:

1. Se cambia el atributo flag, en la cabecera del registro MFT del fichero o carpeta
que se ha borrado:

a) Archivos: 0x01 to 0x00

b) Directorios: 0x03 to 0x02.

2. El atributo $BITMAP del registro del MFT es procesado y establecido a 0

3. Los atributos no residentes del registro del MFT asociado al fichero en cuestión,
son procesados y sus clúster son establecidos como espacio libre en el fichero
$BITMAP.

¿Todo el proceso anterior impide que se pueda recuperar la información? No. Como ya
hemos visto anteriormente se podrá recuperar siempre y cuando no se sobrescriba el
registro MFT, debido al uso del sistema.

Los ransomware cuando deshabilitan las Shadows copies, lo que hacen es utilizar una
llamada al sistema para la lanzar el comando pertinente. Este comando es propio del
sistema operativo.

Para recuperarlas veremos en la parte de carving otra herramienta.

¿Las herramientas de borrado seguro cómo funcionan? Estas herramientas pueden

eliminar:

• El registro de MFT completo del fichero asociado.

• Logfile.
• Shadows copies.

A parte de realizar las operaciones anteriores, los clusters que son utilizados para
contener el propio fichero, se sobrescriben a ceros o siguiendo un estándar de borrado
que va en función del número de pasadas.

42
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

2.2.9 Recuperación de datos mediante el propio sistema de

archivos
¿Cómo funcionan los programas de recuperación de ficheros que analizan el MFT?

1. Buscan en el registro $MFT del fichero en cuestión.

2. Analizan su atributo $DATA del registro.
3. Sí el atributo $DATA es residente, el contenido como tal está en el propio
registro.
4. Sí el atributo $DATA es no residente, el contenido del fichero está en un external
clúster. A continuación, se parsea el RunList. (Runlist contiene los clústeres
asociados al fichero)
5. Verificar si los clústers del Runlist están allocated o no. Si todos los clúster están
allocated La recuperación de datos es posible.
6. Si algunos clústers tienen de estado de allocated a 1, se puede
realizar una recuperación de datos parcial. Los que están allocate cambiarlos a
0.
7. Si todos los clústers estuviesen a 1, significa que ya hay un fichero que utiliza
todos los clúster
Este tipo de técnicas si permite recuperar el nombre del fichero, ya que se obtiene del
atributo

$FILE_NAME.

Otras técnicas de recuperación de archivos utilizando artefactos del sistema de archivos,

serían:

• Carving de registros MFT en el espacio libre

• Búsqueda de registros MFT en el propio registro $MFT, en el slack space.

Recuperación de datos mediante carving

La recuperación de datos mediante carving, se basa en ir analizando clúster a clúster
del dispositivo de almacenamiento en busca de cabeceras o formas conocidas. Esta
técnica NO permite recuperar el nombre del fichero. No depende del sistema de
archivos, sino de conocer previamente como esta formado el fichero que queremos
recuperar.

43
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Tres tipos de técnicas:

• Basadas en cabeceras y cierre del fichero: Header-Footer con tamaño máximo

del fichero.
• Basadas en cómo está el fichero construido : File structure based carving.
• Content based Carving -> basadas en el contenido en sí.

Técnica Header - Footer

Se utiliza un header conocido y un footer:

• Fichero JPEG Header:

OxFF,OxD8 -> FFD8

• Fichero JPEG Footer: OxFF,OxD9

-> FFD9

Un listado de todas las cabeceras o firmas

lo podemos encontrar en la siguiente URL:

[Link]

¿Qué herramienta podemos utilizar para aplicar esta técnica? Photorec

¿Sirve con los programas de borrado seguro? No, ya que no podemos identificar
headers/footers conocidos al haber sido sobrescritos por ciertos patrones grupos de
ceros.

Photorec no funciona con formato de imagen Encase, solo en imágenes en RAW o sobre
el dispositivo físico.

44
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Dispone de muchísimas cabeceras y tipos de ficheros:

[Link]

Ver video: 012-Photorec

La técnica de carving no es válida para ficheros que estén desfragmentados ya que los
clústers que ocupan el fichero no están contiguos.

¿Qué podríamos recuperar mediante técnicas de carving?

• Registros MFT
• $Logfile
• $Usnjrnl
• Shadows Copies
• $I30

Las shadows se pueden recuperar gracias a la siguiente herramienta:

[Link]

45
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

En el github aparece como y qué comandos son necesarios para poder utilizarla:

3.1 Stream Carving vs File Carving

El data Stream Carving se basa en extraer fragmentos de las siguientes fuentes de

información:

• Memoria / PageFile.
• Espacio libre.
• Ficheros de bases de datos.
Ejemplos:

• URLs (navegación privada).

• Sesiones de Chat.
• E-mails.
• Claves de Cifrado.
El data stream carving está basado en la localización de pequeños fragmentos y no en
la búsqueda del fichero entero. Los pequeños fragmentos pueden tener un gran
significado, pero normalmente son parte de un fichero. Por ejemplo, las bases de datos
como el fichero [Link] puede contener cientos de URL que han sido visitadas cuando
se borraron. Si no eres capaz de recuperar el fichero completo se podrían extraer
fragmentos.

El file Carving o carving a secas, puede extraer ficheros de:

• Memoria / PageFile.
• Espacio libre .
Ejemplos:

• Word (.doc/.docx).
• Imágenes (.jpg,.png,.gif).

46
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Archivos (.zip /.rar).

Una herramienta que permite hacer ambos tipos de recuperación es Bulk Extractor,
soporta imágenes forenses en formato E01:

También permite realizar carving de:

• Registros MFT
• $Logfile
• $Usnjrnl
• $I30

Ver video: 013-Bulk Extractor

47
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Una vez seleccionemos con Bulk Extractor la imagen a procesar, podemos ver el estado
de cómo va avanzado:

Todos los resultados los guardará sobre la carpeta que hemos indicado.

Timeline
El timeline o línea del tiempo nos permite obtener acotar en tiempo la investigación de
una evidencia, por ejemplo: nos indican que la investigación está focalizada a raíz de la
comunicación a un trabajador que va ser despedido. La compañía a raíz de esta
comunicación ha visto un comportamiento sospechoso.

• Fecha de comunicación de despido: mínima fecha a investigar.

• Fecha de salida de la compañía: máxima fecha a investigar.

Nuestro timeline estará basado únicamente en los timestamps del sistema de archivos,
es decir, en las fechas de:

• Creación de fichero -> C

• Modificación de fichero -> M
• Cambio de registro MFT ->B

48
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

• Acceso -> A
Estas fechas se le denominan MACB timestamp, para crear el Timeline podemos utilizar
la herramienta Autopsy:

Ver video: 014-Autopsy

49
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Otra manera de generar un Timeline, sería con la herramienta MFT2CSV, pero

seleccionando el formato de salida log2timeline. Una vez se haya generador el CSV,
deberemos de abrirlo con la herramienta TimeLine Explorer.

Ver Video: 015-Timeline

Metadatos de ficheros
Los metadatos están definidos como estructura interna del propio fichero en sí. No tiene
nada que ver con los metadatos que hemos visto del sistema de archivos. ¿Qué tipos
de ficheros pueden contener metadatos?

• Imágenes.
• Documentos ofimáticos.
• Documentos de Audio.
• Documentos de video.
• Ejecutables.

50
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

¿Qué metadatos apodemos encontrar en un fichero ofimático?

• Título.
• Versión de MS Office Utilizada.
• Último Autor.
• Creación del documento /hora.
• Ultima fecha de guardado.
• Última fecha de impresión.
¿Qué metadatos Podemos encontrar en una imagen?

• EXIF Data.
• Marca Cámara / Modelo.
• Hora de creación.
• Hora de modificación.
• Información de la imagen.
• Coordenadas GPS.
Nota: estos metadatos son muy fáciles de manipular. Para realizar una investigación
correcta, se deben utilizar más artefactos y verificar dicha información.

Ver Video: 016-Exif tool

Exiftool también permite analizar de manera recursiva un directorio:

[Link]

Las fechas que aparecen como metadatos en el documento ofimático son introducidas
por la herramienta ofimática. No confundir con las fechas del sistema de archivos.

Un documento como tal nunca contendrá fechas a no ser que disponga de algún
metadato dentro él.

51
 Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

Otra herramienta muy buena para metadatos es Metadiver:

[Link]

Características:

52
Módulo 2: Sistemas de archivos
DIGITAL WINDOWS FORENSICS

[Link]/es

53